1 Problemstellung
2 Ziel, Vorarbeiten und Vorgehensweise
3 Vorschlag für die datenschutzkonforme Gestaltung von Datenschutz-Grundsätzen und -Schutzmaßnahmen in IT-Systemen
3.1 Rollen möglicher Beteiligter
3.2 Gestaltung von Datenschutz-Grundsätzen und -Schutzmaßnahmen in IT-Systemen
-
die Entscheidung darüber, ob das neu geplante IT-System personenbezogene oder anonyme Daten verarbeiten soll;
-
die Vorprüfung der Machbarkeit aus rechtlicher und technischer Sicht;
-
die Planung der Umsetzung der allgemeinen Grundsätze des Datenschutzrechts, z. B. der Planung des Einholens einer Einwilligung und der Planung der Umsetzung von Löschpflichten;
-
die Planung der Umsetzung technischer und organisatorischer Schutzmaßnahmen, wie z. B. die Umsetzung des Vier-Augen-Prinzips und das Verschlüsseln von Daten.
3.2.1 Schritt 1: Entscheidung über die personenbezogene oder anonyme Datenverarbeitung
Schritt | Anforderung | Regelungsgehalt | Aufgaben | Personelle Verantw.a | Sonstige Beteiligte | Zeitlicher Vorlauf |
---|---|---|---|---|---|---|
1.1 | Vorbewertung zur Datenminimierung | Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 DSGVO) | Bewertung, ob der Verarbeitungszweck auch mit anonymen Daten (bzw. unter anonymer Systemnutzung) erreicht werden kann (hierbei muss auch berücksichtigt werden, ob in dem IT-System Logdaten und andere technische Daten erhoben werden, die personenbezogen sind) | VE | DSB, ggf. RA | 24 Monate vor Inbetriebnahme des IT-Systems |
1.2 | Ggf. Anonymisierung | Personenbezogene Daten müssen in einer Weise anonymisiert werden, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann (Erwgr. 26) | Ggf. Datenanonymisierung unter Beachtung der Regelungen der DSGVO, inkl. Bewertung der Gefahr, dass anonyme Daten über die Zeit (durch neue Technologien und/oder das Zusammenführen mit anderen Datensätzen) wieder Personenbezug erhalten könnten | VE | DSB, ISB, ggf. RA | Vor Inbetriebnahme des IT-Systems – da auf die Verarbeitung anonymer Daten die DSGVO keine Anwendung findet, müssten die Schritte 2–4 nicht durchgeführt werdenb |
Schritt | Anforderung | Regelungsgehalt | Aufgaben | Personelle Verantw. | Sonstige Beteiligte | Zeitlicher Vorlauf |
---|---|---|---|---|---|---|
2.1 | Vorprüfung der Machbarkeit aus datenschutzrechtlicher Sicht | In dem geplanten IT-System müssen alle Datenschutz-Grund-sätze der DSGVO umsetzbar sein (Art. 5 DSGVO) | Vorgespräch mit dem Ziel, die datenschutzrechtliche Machbarkeit des Entwicklungsvorhabens zu bestätigen | VE | DSB, RA | 24 Monate vor Inbetriebnahme des IT-Systems |
Datenschutzschulung für VE | DSB | VE (ist verpflichtet, den Arbeitsschritt anzustoßen) | ||||
2.2 | Vorprüfung der Machbarkeit aus technischer Sicht | Das IT-System muss technisch vorgegebene Anforderungen berücksichtigen können | Vorgespräch mit dem Ziel, die technische Machbarkeit des Entwicklungsvorhabens zu bestätigen | VE | DSB, ISB | 24 Monate vor Inbetriebnahme des IT-Systems |
Schritt | Anforderung | Regelungsgehalt (Art. 5 DSGVO) | Aufgabena | Personelle Verantw. | Sonstige Beteiligte | Zeitlicher Vorlauf |
---|---|---|---|---|---|---|
3.1 | Rechtmäßigkeit | Personenbezogene Datenverarbeitung nur bei Vorliegen einer Rechtsgrundlage | Identifizieren der einschlägigen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten (ggf. einschlägige Rechtsgrundlage für besondere Kategorien personenbezogener Daten) | RA | VE (ist verpflichtet, die Arbeitsschritte anzustoßen), ggf. DSB | Planungsphase: 23–17 Monate vor Inbetriebnahme des IT-Systems; Umsetzungsphase: bis zur Inbetriebnahme |
Bei Einwilligung: Umsetzung des Einwilligungsprozesses inkl. Widerrufsmöglichkeit | ||||||
Bei berechtigtem Interesse: Durchführen einer Interessensabwägung inkl. Widerspruchsmöglichkeit | ||||||
Bei Vertragserfüllung: Vorbereiten des entsprechenden Vertrages (z. B. Nutzungsbedingungen) | ||||||
3.2 | Verarbeitung nach Treu und Glauben | Faire und gerechte Datenverarbeitung | Verhindern des Einsatzes verborgener bzw. unfairer Verarbeitungstechniken (z. B. verborgene Techniken zur Datenerhebung in Form geheimer Videoüberwachung) | VE | DSB, ISB | |
3.3 | Zweckbindung | Personenbezogene Daten dürfen nur für legitime Zwecke verarbeitet werden. Ein einmal festgelegter Zweck darf sich grundsätzlich nach der Datenerhebung nicht mehr ändern | Identifizierung des Verarbeitungszwecks/der Verarbeitungszwecke | VE | Ggf. DSB | |
Bewertung der Legitimität des Zwecks/der Zwecke | ||||||
Umsetzung einer (technischen) Datentrennung von zu unterschiedlichen Zwecken erhobenen Daten sowie strenger Zugriffsrechte | Ggf. DSB, ggf. ISB | |||||
Definition von Prozessen zur Verhinderung nachträglicher Zweckänderungen | ||||||
3.4 | Datenminimierung | Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein | Bewertung, ob die zu erhebenden personenbezogenen Daten einen Bezug zum Zweck der Verarbeitung haben | VE | Ggf. DSB, ggf. RA | |
Bewertung, ob die Verarbeitung der personenbezogenen Daten den rechtmäßigen Zweck fördert | ||||||
3.5 | Richtigkeit | Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein | Definition und Umsetzung eines Prozesses zur regelmäßigen Bewertung der Richtigkeit personenbezogener Daten (in sämtlichen Phasen der Datenverarbeitung, unabhängig von der Verarbeitungsform) | VE | Ggf. DSB, ggf. RA | Planungsphase: 23–17 Monate vor Inbetriebnahme des IT-Systems; Umsetzungsphase: bis zur Inbetriebnahme |
Sofern für den Verarbeitungszweck erforderlich:b Definition und Umsetzung eines Prozesses zur regelmäßigen Bewertung der Aktualität personenbezogener Daten | ||||||
Definition und Umsetzung eines Prozesses zur Bearbeitung von Berichtigungsersuchen betroffener Personen | ||||||
3.6 | Speicherbegrenzung | Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist | Beurteilung, ob Ausnahmen von der Speicherbegrenzung bestehen (insb. für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke) | VE | Ggf. DSB | |
Ggf. Identifizierung des Löschzeitpunktes: Festlegung des Zeitpunkts, ab dem personenbezogene Daten für den Verarbeitungszweck nicht mehr erforderlich sind (a); Identifizierung ggf. bestehender gesetzlicher Aufbewahrungspflichten – u. a. aus dem Handelsgesetzbuch und der Abgabenordnung – (b); Festlegung des Zeitraumes zur Umsetzung der Löschung | VE | Ggf. DSB, RA | ||||
Ggf. Umsetzung der Einschränkung personenbezogener Daten für den Zeitraum zwischen (a) und (b) | VE | Ggf. ISB, ggf. DSB, ggf. RA | ||||
Ggf. Einplanen und Umsetzen des (automatisierten, teilautomatisierten oder regelmäßigen händischen) Löschens oder Anonymisierens von Daten, unter Einhaltung der Regelungen der DSGVO | ||||||
Definition und Umsetzung eines Prozesses zur Bearbeitung von Ersuchen betroffener Personen zur Löschung oder Einschränkung der Verarbeitung | VE | Ggf. DSB, ISB | ||||
3.7 | Integrität und Vertraulichkeit | Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen sicherstellt | Planung und Umsetzung von Maßnahmen zur Umsetzung von Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit der Systeme/Dienste | ISB | VE (ist verpflichtet, die Arbeitsschritte anzustoßen), DSB, ggf. RA | Planungsphase: 23–17 Monate vor Inbetriebnahme des IT-Systems; Umsetzungsphase: bis zur Inbetriebnahme |
Planung und Umsetzung von Maßnahmen zur schnellen Wiederherstellbarkeit personenbezogener Daten | ||||||
Planung und Umsetzung von Maßnahmen zur regelmäßigen Überprüfung der Wirksamkeit technischer und organisatorischer Schutzmaßnahmen | ||||||
Definition und Umsetzung eines Prozesses zur Erkennung und Meldung von Datenpannen | VE | DSB, ISB | ||||
3.8 | Rechenschaftspflicht | Die Einhaltung der vorgenannten Grundsätze muss nachweisbar sein | Ggf. Eintrag des IT-Systems in das Verzeichnis der Verarbeitungstätigkeiten | VE (ist zusätzlich dazu verpflichtet, den V über die Umsetzung der Rechenschaftspflicht informiert zu halten) | Ggf. DSB, ggf. ISB | |
Dokumentation der Auswahl der einschlägigen Rechtsgrundlage (inkl. Negativbegründung, warum andere Rechtsgrundlagen nicht in Frage kommen) | DSB | |||||
Ggf. Planung und Umsetzung der Dokumentation des Erteilens der Einwilligung durch die betroffenen Personen | ||||||
Ggf. Planung und Umsetzung der Dokumentation des Löschens personenbezogener Daten (ohne dass die Dokumentation personenbezogene Daten enthält) | Ggf. DSB, ggf. ISB | |||||
Ggf. Planung und Umsetzung der Dokumentation von Datenpannen und dem Umgang mit diesen (je Datenpanne) | ||||||
Planung und Umsetzung der Dokumentation der Auswahl geeigneter und angemessener Schutzmaßnahmen | Ggf. ISB | |||||
Planung und Umsetzung der Dokumentation über die Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung | Ggf. DSB | Planungsphase: wie oben; Umsetzungsphase: bis 6 Monate vor Inbetriebnahme (wg. ggf. bestehender Konsultationspflicht); ggf. Anpassungen bis zur Inbetriebnahme | ||||
Ggf. Planung und Umsetzung der Dokumentation der Datenschutz-Folgenabschätzung | DSB, ISB | |||||
3.9 | Transparenz | Betroffene Personen sollen – als Grundlage der Umsetzung ihrer Betroffenenrechte – Kenntnis über die wichtigsten Umstände der Datenverarbeitung haben | Ggf. Umsetzung der datenschutzrechtlichen Informationspflichten bei Direkterhebung | RA | VE (ist verpflichtet, die Arbeitsschritte anzustoßen), ggf. DSB | Planungsphase: 23–17 Monate vor Inbetriebnahme des IT-Systems; Umsetzungsphase: bis zur Inbetriebnahme |
Ggf. Umsetzung der datenschutzrechtlichen Informationspflichten bei Dritterhebung | ||||||
Definition von Prozessen zur Umsetzung der weiteren Betroffenenrechte (sofern nicht Gegenstand der vorangegangenen Schritte) | VE | Ggf. DSB |
Schritt | Anforderung | Regelungsgehalt | Aufgaben | Personelle Verantw. | Sonstige Beteiligte | Zeitlicher Vorlauf |
---|---|---|---|---|---|---|
4.1 | Privacy by Design | Technische und organisatorische Schutzmaßnahmen müssen bereits in der Planungsphase neuer IT-Systeme berücksichtigt werden | Konzeption technischer und organisatorischer Schutzmaßnahmen zu Beginn der Planungsphase (s. Schritt 3.7, z. B. Passwortschutz, Datenverschlüsselung) | VE | DSB, ISB, bei Bedarf der Neubeschaffung: V | 24–0 Monate vor Inbetriebnahme des IT-Systems (kontinuierlich) |
4.2 | Privacy by Default | Im IT-System müssen die datenschutzfreundlichsten Einstellungen voreingestellt sein | Einplanung der Möglichkeit zur Umsetzung und Umsetzung datenschutzfreundlicher Voreinstellungen vor Inbetriebnahme | VE | DSB | Planungsphase: 23–17 Monate vor Inbetriebnahme des IT-Systems; Umsetzungsphase: bis zur Inbetriebnahme |
4.3 | Ggf. Datenschutz-Folgenabschätzung | Bei geplanten Datenverarbeitungen mit einem besonders hohen Risiko für die Rechte und Freiheiten der betroffenen Personen ist eine Datenschutz-Folgenabschätzung verpflichtend durchzuführen | Systematische Beschreibung der geplanten Verarbeitung | VE | DSB, ggf. DSAB (bei Konsultationspflicht) | Planungsphase: 23–17 Monate vor Inbetriebnahme des IT-Systems Umsetzungsphase: bis 6 Monate vor Inbetriebnahme (wegen ggf. bestehender Konsultationspflicht); ggf. Anpassungen bis zur Inbetriebnahme |
Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung | ||||||
Bewertung der Risiken der Datenverarbeitung | ||||||
Planung technischer und organisatorischer Schutzmaßnahmen zur Begegnung der identifizierten Risiken; regelmäßige Bewertung von Neu- und Restrisiken | ISB | VE (ist verpflichtet, die Arbeitsschritte anzustoßen), ggf. DSB, bei Bedarf der Neubeschaffung: V, ggf. Auswahl bP und sonstiger Interessensgruppen wie z. B. dem Betriebsrat, ggf. DSAB (bei Konsultationspflicht) | ||||
4.4 | Geeignetheit | Es müssen technische und organisatorische Schutzmaßnahmen umgesetzt werden, die zur Umsetzung der Integrität, Vertraulichkeit und Verfügbarkeit geeignet sind | Bewertung der funktionalen Geeignetheit der Maßnahmen – so sind z. B. ein Sicherheitsschloss oder Wachpersonal grundsätzlich geeignet, das Ziel zu erreichen, den unberechtigten Zutritt zu Räumen zu unterbinden, in denen personenbezogene Daten verarbeitet werden, während ein Feuerlöscher zur Erreichung dieses Ziels nicht geeignet ist | ISB | VE (ist verpflichtet, die Arbeitsschritte anzustoßen), DSB, bei Bedarf der Neubeschaffung: V | Planungsphase: 23–17 Monate vor Inbetriebnahme des IT-Systems Umsetzungsphase: bis zur Inbetriebnahme |
4.5 | Angemessenheit | Es müssen technische und organisatorische Schutzmaßnahmen umgesetzt werden, die zur Umsetzung der Integrität, Vertraulichkeit und Verfügbarkeit angemessen sind | Bewertung der Angemessenheit der Maßnahmen anhand folgender Kriterien (Selzer
2021; Selzer und Timm 2021b): Stand der Technik (insbesondere unter zur Hilfenahme des Standard-Datenschutzmodells, der entsprechenden Leitfäden der DSK und des EDSA sowie des BSI und der ENISA)a Implementierungskosten (inkl. Folgekosten und unter Berücksichtigung der finanziellen Gewinnabsichten des Verantwortlichen an der Datenverarbeitung) Art (u. a. Datenarten, Verarbeitungsarten, Kategorien betroffener Personen, genutzte Verarbeitungstechnik), Umfang (u. a. Menge der betroffenen Personen und der verarbeiteten Daten), Umstände (u. a. Verarbeitungsort, Verarbeitungszeit, eingesetzte Systeme, wirtschaftliche Interessen des Verantwortlichen) und Zwecke (kritische und/oder weit gefasste Verarbeitungszwecke) der Verarbeitung Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten der betroffenen Personen (insb. physische, materielle oder immaterielle Schäden für die betroffenen Personen) Schutzbedarf der personenbezogenen Daten (z. B. normal, hoch, sehr hoch) | ISB | VE (ist verpflichtet, die Arbeitsschritte anzustoßen), DSB, bei Bedarf der Neubeschaffung: V | Planungsphase: 23–17 Monate vor Inbetriebnahme des IT-Systems Umsetzungsphase: bis zur Inbetriebnahme |